NFsec Logo

Konfiguracja nagłówków bezpieczeństwa na A+

08/01/2016 w Bezpieczeństwo Brak komentarzy.

S

ecurityheaders podobnie, jak Qualys SSL Test dla SSL oferuje sprawdzanie poprawności i ranking konfiguracji, jeśli chodzi o nagłówki bezpieczeństwa używane po stronie serwera i strony WWW. Zanim wykonamy test powinniśmy bliżej zapoznać się z następującymi pojęciami: Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security (HSTS) oraz Public-Key-Pins (HPKP). Jeśli nie stosujemy żadnego z nich – ocena „F” nie powinna być zaskoczeniem.

Więcej informacji: securityheaders.io

Zapobieganie potencjalnym lukom XSS w starszych wersjach Adobe Reader

15/03/2011 w Bezpieczeństwo 1 komentarz.

J

ednym ze sposobów uniknięcia przekazywania przez starsze oprogramowanie Adobe Reader oraz wtyczki Acrobat kodu JavaScript do sesji przeglądarek jest wymuszenie otwierania plików PDF bez udziału przeglądarki. W celu osiągnięcia tego – wystarczy zmienić MIME (ang. Multipurpose Internet Mail Extensions) formatu PDF z „application/pdf” na binarny „application/octet-stream”. Spowoduje to, że przy kliknięciu linku przeglądarka poprosi użytkownika o zewnętrzne otworzenie pliku PDF za pomocą powiązanej aplikacji lub zapisanie pliku na dysk.
[ czytaj całość… ]

Delikatność Internet Explorera

24/03/2010 w Hakin9 & Linux+ Brak komentarzy.

J

edno z pytań, które z biegu zostaną przez czytelników Hakin9u zaliczone do grupy retorycznych, jest pytanie o to która z przeglądarek jest przeglądarką najdelikatniejszą. I choć powiedzenie „wszystko co piękne jest delikatne” do niedawna nie miało zupełnie żadnego odniesienia w stosunku do najpopularniejszej przeglądarki na świecie, to przynajmniej na…
[ czytaj całość… ]

Malware jak wojna to wojna!

20/03/2010 w Hakin9 & Linux+ Brak komentarzy.

M

alware to potoczne określenie złośliwego oprogramowania (ang. malicious software). Jest ono szeroko rozpowszechnione w Internecie, infekując tysiące komputerów na całym świecie. Wiedza hakerów jest bardzo duża, a współczesne programy typu malware są coraz bardziej zaawansowane.
[ czytaj całość… ]

Błędy w serwisach Onet.pl i WP.pl, Allegro.pl i mBank.com.pl

26/01/2010 w Hakin9 & Linux+ Brak komentarzy.

W

Polsce podejście do błędów typu JavaScript Injection, XSS, Session Fixation, RCSR, itp. jest mniej poważne, niż być powinno. Podczas swoich testów natknąłem się na błędy w wielu serwisach internetowych. Niektóre są większe, inne mniejsze. W pierwszej części tego artykułu chciałbym się skupić na lukach wykrytych w dwóch największych polskich portalach.
[ czytaj całość… ]

Ataki HTML Injection

14/08/2009 w Hakin9 & Linux+ Brak komentarzy.

A

taki HTML injection polegają na przesłaniu stronie, która oczekuje od nas danych w postaci czystego tekstu, ciągu zawierającego specjalnie spreparowany kod HTML. Co możemy w ten sposób osiągnąć?
[ czytaj całość… ]

PHP – Bezpieczne programowanie

13/08/2009 w Bezpieczeństwo Brak komentarzy.

P

HP jest skryptowym językiem programowania, czyli programy, które zostały w nim napisane nie są kompilowane do postaci kodu maszynowego zrozumiałego dla procesora (jak to występuje w przypadku wielu innych języków programowania), lecz wykonywane przez specjalną aplikację zwaną interpreterem PHP. Pierwotnym przeznaczeniem PHP było wspomaganie tworzenia dynamicznych stron WWW, w obecnym czasie jest on także wykorzystywany do tworzenia aplikacji dla systemów operacyjnych. Wielu początkujących programistów tego języka popełnia wiele błędów, które mają swoje odbicie w bezpieczeństwie tworzonych programów i aplikacji. Poniżej został stworzony spis niemal wszystkich błędów, najczęściej popełnianych przez programistów PHP. Poniższa lista obejmuje oraz opisuje 11 ważnych i najczęściej spotykanych luk bezpieczeństwa wraz z przykładami oraz poradami, w jaki sposób można ich uniknąć w swoich projektach.
[ czytaj całość… ]

Niebezpieczeństwa ataków XSS i CSRF

04/08/2009 w Hakin9 & Linux+ Brak komentarzy.

S

pośród wszystkich zagrożeń bezpieczeństwa aplikacji internetowych, zwłaszcza tych napisanych w PHP, zdecydowanie najczęstszym jest podatność na ataki XSS i CSRF. Jednak nawet w przypadku ujawnienia tego typu słabości w aplikacji, programiści na ogół niechętnie zajmują się ich usuwaniem, mylnie twierdząc, że wszelkie ataki tego typu i tak są nieszkodliwe – może zresztą dlatego nie interesują się odpowiednim zabezpieczaniem tworzonych aplikacji od samego początku.
[ czytaj całość… ]